欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

首例发生在巴西的仿冒WannaCry恶意软件

来源:本站整理 作者:佚名 时间:2019-07-11 TAG: 我要投稿

2017年5月12日,WannaCry蠕虫在全球大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry,在数小时内横扫了近150个国家的政府机关、高校、医院等。红色的背景“桌面”席卷全球,致使多个国家的政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受到了前所未有的破坏。
而随着WannaCry的爆发,许多勒索软件也借着WannaCry的热度与余威,通过各种仿冒WannaCry对用户进行勒索,其中也不乏移动端WannaCry仿冒软件。移动端仿冒WannaCry的勒索软件2017年就已出现,其通过仿冒“王者荣耀辅助”诱骗用户安装,勒索软件通过仿冒WannaCry勒索界面,对用户手机进行锁屏,加密用户手机文件,并通过二维码对用户进行勒索。
近日奇安信红雨滴团队,通过分析推特上发现的,巴西首例通过仿冒WannaCry勒索的移动恶意软件,该软件通过仿冒WannaCry勒索界面,向用户索要比特币,其勒索界面与2017年国内发现的“王者荣耀辅助”勒索软件类似。
但此次在巴西发现的恶意软件,相比于“王者荣耀辅助”,其UI上做了借鉴,功能上做了升级,经过分析发现其为“AhMyth ”、“WannaCry UI ”、“Banker木马”类软件的结合体。

诱饵分析
2017年国内发现的仿冒“王者荣耀辅助”的勒索软件:

近日巴西发现的仿冒WannaCry勒索软件,含有西班牙语的勒索界面:

样本信息:

样本分析
经过对该恶意软件进行分析,该恶意软件除了在UI上借鉴了WannaCry,功能上相比与国内发现的“王者荣耀辅助”已完全不同。恶意软件运行后会隐藏自身图标,并在后台通过服务端下发控制指令,对用户手机进行远控,而且其着重针对巴西境内的九大银行。其恶意行为有:获取用户手机短信、通讯录、通话记录、手机固件信息、地理位置、获取用户手机已安装的银行APP信息,对用户手机进行网络钓鱼、执行DDOS攻击、获取手机录音等。
恶意程序远控指令及含义:
控制指令
指令含义
x0000gsm
0,获取手机短信
1,发送短信
2,获取通话记录
3,获取通讯录
x0000bk
1,获取安装的银行APP
2,加入到系统卸载程序
3,启动指定APP
4,捕获不同APP的信息
5,网络钓鱼
x0000ca
-1,打开摄像机拍照
x0000fm
0,获取文件名、目录
1,获取文件名、大小
x0000hk
执行指定的shell命令(DDOS攻击等)
x0000lm
获取地理位置
x0000mc
手机录音
x0000mn
获取手机固件信息
远控代码:


部分恶意代码:


恶意软件着重针对,用户手机安装的巴西各大银行软件,这个应该是攻击者的真正目的。恶意软件会获取用户手机安装的银行软件,同时会获取银行APP上个人相关的信息,针对不同的APP会有相应的不同操作。




恶意程序中监测的巴西银行APP统计:

同源分析
当PC端的WannaCry爆发以后,国内恶意软件作者,马上推出了移动端仿冒WannaCry的勒索软件“王者荣耀辅助”。这方面我们可谓走在了世界前列,“王者荣耀辅助”为前几年国内移动端勒索软件较流行的“彼岸花”系列变种,其源码也早已公开。此次在巴西发现的仿冒WannaCry恶意软件,在UI上参考了国内早期的勒索软件。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载